KR20100073126A - Apparatus and method for detecting malicious code using packed file properties - Google Patents
Apparatus and method for detecting malicious code using packed file properties Download PDFInfo
- Publication number
- KR20100073126A KR20100073126A KR1020080131717A KR20080131717A KR20100073126A KR 20100073126 A KR20100073126 A KR 20100073126A KR 1020080131717 A KR1020080131717 A KR 1020080131717A KR 20080131717 A KR20080131717 A KR 20080131717A KR 20100073126 A KR20100073126 A KR 20100073126A
- Authority
- KR
- South Korea
- Prior art keywords
- file
- compression method
- malicious code
- header
- compression
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
본 발명은 악성코드 탐지기술에 관한 것으로, 윈도우 기반 실행 파일인 PE(Portable Executable)파일이 실행 압축된 경우, 압축방법을 검출하여 해당 파일의 악성코드 여부를 판단하는 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법에 관한 것이다.The present invention relates to a malicious code detection technology, when the executable executable (PE) file, which is a Windows-based executable file, is compressed, detects a compression method and detects malware using an execution compression characteristic that determines whether the file is malicious code. An apparatus and a method thereof are provided.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-03, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술 개발]The present invention is derived from the research conducted as part of the IT growth engine technology development of the Ministry of Knowledge Economy and the Ministry of Information and Communication Research and Development. [Task management number: 2006-S-042-03, Task name: Countering Zero-Day Attack of Network Threat Development of Real Time Attack Signature Generation and Management Technique
악성코드를 실행압축 하는 이유는 악성코드 검색엔진의 탐색을 우회하거나, 리버스 엔지니어링을 통한 악성코드 분석을 막기 위한 목적으로 사용되고 있다. Black Hat 2006 학회는 Wildlist에 등록된 악성코드 중 92%가 실행압축되어 있다고 발표하였으며, PandaLab의 보고서는 새로운 악성코드의 79%가 실행압축되어 있다고 발표하였다. 또한, 새롭게 출현하는 악성코드의 50% 이상이 기존의 악성코드를 다 른 압축방법으로 압축한 형태라는 통계도 있다. 압축된 악성코드가 증가하는 이유는 압축방법의 소스코드가 공개되어 누구라도 쉽게 알고리즘 또는 소스코드를 수정하여 다양한 종류의 압축방법을 만들 수 있기 때문이다.The reason for compressing the execution of malware is to bypass the search of the malware search engine or to prevent the analysis of malware through reverse engineering. The Black Hat 2006 Society reported that 92 percent of Wildlist-registered malware was compressed, and PandaLab's report found that 79 percent of new malware was compressed. In addition, there are statistics that more than 50% of newly appeared malicious codes are compressed by other compression methods. The reason why the compressed malicious code is increased is that the source code of the compression method is disclosed and anyone can easily modify the algorithm or the source code to create various kinds of compression methods.
일반적으로 악성코드 검색엔진은 실행압축된 악성코드를 사전 탐지한 후, 추가적인 분석 작업을 수행한다. 압축해제 과정 전의 실행 파일은 악성코드 시그니쳐 검사를 통과할 수 있으므로, 반드시 압축해제 과정을 거친 후 검사를 해야 한다. 수동 압축해제 방식은 많은 시간과 노력이 필요하며, 자동 압축해제 방식은 모든 압축방법에 대해 압축해제 루틴을 구현해야 하므로 매우 복잡하고, 완벽하게 구현하는 것이 어렵다. In general, the malware search engine detects compressed compressed code and performs additional analysis. The executable file before the decompression process can pass the malware signature check, so it must be scanned after the decompression process. Manual decompression requires a lot of time and effort, and automatic decompression requires complex decompression routines for all compression methods, making it very complex and difficult to implement completely.
본 발명의 목적은 악성코드 탐지를 위해, 해당 파일의 압축방법을 PE 헤더 분석기법과 시그니처 분석기법을 이용하여 탐지한 후, 압축해제 과정 없이 압축방법을 비교하여 악성코드 여부를 판단하는 실행압축 특성을 이용한 악성코드 탐지 장치 및 그 방법을 제공하는 것이다.An object of the present invention is to detect the compression method of the file using the PE header analysis method and the signature analysis method for the detection of malicious code, and then compare the compression method without decompression process to determine the execution compression characteristics to determine whether or not malicious code The present invention provides a malware detection apparatus and method thereof.
상기 목적은, 대상파일의 파일 헤더를 분석하여 상기 대상파일의 PE 파일 여부를 판단하는 PE 파일 판단부, 상기 대상파일이 PE 파일인 경우, 상기 대상파일의 섹션 헤더 분석을 통해 실행압축 여부 및 압축방법을 검출하는 압축방법 검출부 및, 압축방법별 악성코드 여부를 표시하는 제1 데이터 베이스를 포함하고, 상기 제1 데이터 베이스와 상기 압축방법을 비교하여, 상기 대상파일의 악성코드 여부를 판단하는 악성코드 판단부를 포함하는 실행압축 특성을 이용한 악성코드 탐지장치에 의해 달성된다.The object of the present invention is a PE file determination unit that analyzes a file header of a target file to determine whether the target file is a PE file, and if the target file is a PE file, whether or not to execute compression through section header analysis of the target file. Compression method detection unit for detecting a method, and a first database for indicating whether or not malicious code for each compression method, comprising a comparison of the first database and the compression method, malicious to determine whether the target file malicious code It is achieved by a malware detection apparatus using the execution compression characteristics including a code determination unit.
또한, 대상 파일을 입력받고, 상기 대상파일이 PE 파일인지 확인하는 PE 파일 확인 단계, 상기 대상파일이 PE 파일인 경우, 상기 대상파일의 섹션 헤더 이름 및 특성 항목을 분석하여, 압축방법을 검출하는 압축방법 검출단계, 상기 압축방법과 압축방법별 악성코드 여부를 저장하고 있는 제1 데이터 베이스와 비교하여 악성코드를 검출하는 악성코드 검출단계 및, 상기 대상파일의 악성코드 여부를 출력하는 단계를 포함하는 실행압축 특성을 이용한 악성코드 탐지 방법에 의해 달성된다.In addition, a PE file checking step of receiving a target file, and checking whether the target file is a PE file, and if the target file is a PE file, analyzing a section header name and a characteristic item of the target file and detecting a compression method. Detecting a compression method, a malicious code detection step for detecting malicious code compared to the first database that stores the compression method and whether the malicious code for each compression method, and outputting whether the target file malicious code It is achieved by the malware detection method using the execution compression characteristic.
본 발명에 따르면, 실행압축된 대상파일을 압축해제 하지 않고, 악성코드 여부를 판단할 수 있다. 또한, 본 발명을 기존의 악성코드 탐색기법이 적용된 검색 엔진에 적용하면, 악성코드 검색속도와 정확도를 높일 수 있다.According to the present invention, it is possible to determine whether or not malicious code without decompressing the execution compressed target file. In addition, if the present invention is applied to a search engine to which the existing malware search method is applied, it is possible to increase the speed and accuracy of malware search.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.
본 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법을 개괄적으로 설명하면 다음과 같다. 먼저 대상파일의 파일 헤더를 검사하여 PE 파일임을 확인한다. 대상파일이 PE 파일인 경우, 섹션헤더의 이름(Name)과 특성(Characteristics)항목을 조사하여 사용된 압축방법을 검출한다. 이때, 검출된 압축방법이 악성코드 압축용 압축방법인 경우, 대상파일을 악성코드로 판단한다. 그러나, 압축방법만으로 대상파일의 악성코드 여부를 판단할 수 없는 경우에는 대상파일에서 MD5와 파일크기를 추출하여, 악성코드의 압축방법, MD5, 파일크기가 저장된 악성코드 데이터베이스와 비교하여 대상파일의 악성코드 여부를 판단한다.An apparatus and method for detecting malicious codes using the present compression characteristics are described as follows. First, check the file header of the target file to verify that it is a PE file. If the target file is a PE file, the section header's Name and Characteristic items are examined to detect the compression method used. At this time, if the detected compression method is a compression method for compressing malicious codes, the target file is determined as malicious code. However, if it is not possible to determine the malicious code of the target file only by the compression method, extract MD5 and file size from the target file, and compare the target file with the malicious code compression method, MD5, and the malicious code database. Determine if malicious code
도 1은 마이크로소프트의 실행파일인 PE파일의 구조도이다.1 is a structural diagram of a PE file which is an executable file of Microsoft.
PE파일은 MS-DOS MZ 헤더(101), PE 시그니처(111)를 포함하는 PE 파일 헤더(113) 및 PE Optional 헤더(115)를 포함하는 NT 헤더(110), 섹션 헤더(120) 및 섹션 데이터(130)를 포함한다.The PE file is composed of an MS-DOS
MS-DOS MZ 헤더(101)은 마이크로소프트의 이전 운영체제인 MS-DOS와의 호환 을 위한 파일 헤더로, "MZ"문자열이 헤더의 시작위치에 존재하는 것을 특징으로 한다.MS-DOS MZ
NT 헤더(110)는 PE 시그니처(111), PE 파일 헤더(113) 및 PE Optional 헤더(115)를 포함한다.NT
PE 시그니처(111)는 "PE00"의 문자열로 구성되어 있으며, 당해파일이 PE 파일임을 나타낸다. PE 시그니처(111)는 NT 헤더(110)의 시작위치에 존재하는 것을 특징으로 한다.The
PE 파일 헤더(113)는 섹션의 갯수, 실행 가능한 컴퓨터의 타입, 파일의 최종변경시간 등을 알 수 있는 파일 특성에 관한 정보를 포함하고 있다. PE Optional 헤더(115)는 프로그램 코드의 엔트리 포인트등 프로그램을 실행하기 위한 정보를 포함하고 있다.The
섹션 헤더(120)는 NT 헤더(110) 다음에 위치하며, NT 헤더(110)에 섹션 헤더의 기본정보가 포함되어 있다. 섹션 헤더(120)는 각 섹션별 섹션이름, 섹션크기 및 색션특성에 대한 정보를 포함한다.The
섹션 데이터(130)는 섹션 헤더(120) 뒤에 위치하며, 각 섹션의 특성별로 프로그램 코드나, 데이터 저장 공간 등으로 사용된다.The
도 2는 본 발명의 일 실시예인 실행압축 특성을 이용한 악성코드 탐지장치의 구성도이다.2 is a block diagram of a malicious code detection apparatus using an execution compression feature that is an embodiment of the present invention.
실행압축 특성을 이용한 악성코드 탐지장치(200)는 PE파일 검출부(210), 압축방법 검출부(220), 악성코드 검출부(230) 및 압축방법 데이터베이스(240)를 포함 하고 있다.The
PE파일 검출부(210)는, 대상파일의 헤더를 검사하여 "MZ"문자열로 시작되는지 확인한다. 대상파일의 PE파일 검출부(210)는 대상 파일의 헤더가 "MZ"로 시작하면, 시작위치로부터 일정비트 뒤에 존재하는 NT 헤더(110)를 검사한다. NT 헤더는 PE 시그니처(111)로 시작하며, PE 파일인 경우, "PE00"으로 NT 헤더(110)를 시작한다. 헤더가 "MZ"로 시작하고, NT 헤더에 PE 시그니처인 "PE00" 문자열이 존재하면 마이크로소프트의 운영체제에서 실행가능한 파일임을 나타낸다.The PE
압축방법 검출부(220)는 섹션헤더 분석부(221)와 시그니처 검색부(223)를 포함한다.The
섹션헤더 분석부(221)는 대상파일이 PE 파일인 경우, 대상 파일의 섹션헤더(120)의 섹션 이름과 섹션 특성 정보를 분석하여, 압축방법을 검출한다.When the target file is a PE file, the
일반적인 컴파일러에 의해 생성된 실행파일은 표준 섹션이름을 사용한다. 예를 들면, .text, .data, .rsrc, .reloc, .rdata, .idata, CODE, DATA 등이다. 그러나, PE 파일이 실행압축 되어 있는 경우, 압축방법마다 고유의 섹션이름을 사용한다. 예를 들면, 압축방법 ASPack는 섹션이름으로.aspack을, UPX는 UPX0, UPX1, UPX2를, Upack은 Upack 및 Yoda's Crypter는 yC를 사용한다. 따라서, 섹션이름을 분석하면 실행압축방법을 검출할 수 있다.Executables generated by common compilers use standard section names. For example, .text, .data, .rsrc, .reloc, .rdata, .idata, CODE, DATA, and so on. However, if the PE file is compressed, use a unique section name for each compression method. For example, the compression method ASPack uses .aspack as the section name, UPX uses UPX0, UPX1, UPX2, Upack uses Upack and Yoda's Crypter yC. Therefore, analyzing the section name can detect the execution compression method.
또한, 섹션특성 항목에는 해당 섹션이 읽기, 쓰기 및 실행가능 여부를 나타내는 값이 설정되어 있다. 일반적으로 실행압축된 경우, 실제 파일이 실행될 때, 해당 섹션을 압축해제해야 하므로, 섹션특성 항목은 쓰기와 실행가능이 동시에 설 정되어 있다.Also, a section property item is set with a value indicating whether the section can be read, written, or executed. In general, when the executable is compressed, the section property is set to be both writeable and executable because the section must be decompressed when the actual file is executed.
따라서, 섹션이름과 섹션특성을 분석하면, 대상파일의 실행압축 여부와, 압축방법을 검출할 수 있다.Therefore, by analyzing the section name and the section characteristics, it is possible to detect whether the target file is executed or not and how to compress it.
시그니처 검색부(223)는 대상파일의 헤더 안에 특정 문자열 패턴이 있는지 검색한다. 일반적인 실행압축 방법은 대상파일의 헤더 안에 고유한 Fingerprint를 남기므로, 이를 탐지하여 압축방법을 검출할 수 있다.The
악성코드 검출부(230)은 압축방법 검출부(220)에서 검출한 압축방법과 압축방법 데이터베이스(240)를 비교하여 해당파일의 악성코드 여부를 검사한다.The malicious
압축방법 데이터베이스(240)는 악성코드의 압축방법을 저장한 제1 데이터베이스(241) 및 악성코드의 압축방법, 악성코드의 MD5, 악성코드의 파일크기를 포함하는 제2 데이터베이스(243)를 포함한다.The
제1 데이터베이스(241)는 압축방법을 블랙리스트, 화이트리스트, 그레이리스트로 구분하여 저장한다. 블랙리스트에는 악성코드 압축에 사용되는 압축방법을 포함하며, 화이트리스트에는 일반적으로 악성코드 압축에 사용되지 않는 상용 압축방법을 포함한다. 악성코드에 사용되는 압축방법은 Upack, NsPack, Mew, Pex, Yoda's Crypter, PolyCryptPE 등이 포함되며, 상용 압축방법은 Themida, Armadillo, AsProtect, UPX, PeCompact, AsPack 등이 포함된다. 다만, 양쪽 모두에 해당하는 압축방법의 경우에는 그레이리스트에 저장되며, 압축방법 중 FSG, Morphine등이 포함된다.The
제1 데이터베이스(241)의 그레이리스트에 포함된 압축방법일 경우, 제1 데이 터베이스와의 비교만으로 대상파일의 악성코드 여부를 판단할 수 없다. 따라서, 악성코드의 압축방법, MD5 및 악성코드의 크기를 포함한 제2 데이터베이스(243)와 비교하여 대상파일의 악성코드 여부를 최종 판단한다.In the case of the compression method included in the gray list of the
MD5는 대상파일을 입력 받아, 128비트 고정 길이의 출력값으로 변경된 것으로, 대상파일을 나타내는 고유의 값을 나타낸다.MD5 receives the target file, changes it to a 128-bit fixed-length output, and represents a unique value representing the target file.
도 3은 본 발명의 일 실시예인 실행압축 특성을 이용한 악성코드 탐지방법의 흐름도이다.3 is a flowchart illustrating a malicious code detection method using an execution compression feature that is an embodiment of the present invention.
PE 파일 검출부(210)에 검사 대상파일이 입력되면(S100), 대상파일의 헤더를 분석하여 PE 파일 여부를 검사한다(S101). When the test target file is input to the PE file detection unit 210 (S100), the header of the target file is analyzed to check whether the PE file is present (S101).
대상 파일이 PE 파일인 경우, 압축방법 검출부(220)는 대상파일의 섹션헤더를 분석하여 섹션이름과 특성항목을 추출한다(S103). 압축방법 검출부(220)는 추출된 섹션이름과 특성항목을 분석하여 대상파일의 실행압축 여부 및 압축방법을 검출한다. 다만, 추출된 섹션이름과 특성항목 분석을 통해 압축방법을 검출할 수 없는 경우에는 압축방법 검출부(220)는 대상파일의 헤더파일에 압축방법 고유의 Fingerprint를 포함하는지 검사하여, 압축방법을 검출한다(S105). If the target file is a PE file, the compression
압축방법 검출부(220)에서 압축방법이 검출된 경우, 악성코드 검출부(230)는 악성코드용 압축방법의 사용여부를 검사하여 해당 파일의 악성코드 여부를 판단한다(S107).When the compression method is detected by the compression
압축방법 검출부(220)에서 압축방법이 검출된 경우, 악성코드 검출부(230)는 먼저 안전한 압축방법이 등록된 화이트리스트에 포함되는지 검사한다(S107). 대상 파일이 화이트리스트에 포함된 경우, 대상파일을 안전한 파일로 판단한다. 대상파일의 압축방법이 화이트 리스트에 등록되지 않은 경우에는, 악성코드용 압축방법이 등록된 블랙리스트에 포함되는지 검사한다(S109). 블랙리스트에 포함된 경우에는 대상파일을 악성코드로 판단한다. 블랙리스트에 등록되지 않은 경우에는 검출된 압축방법이 그레이리스트에 포함되는지 검사한다(S111). 그레이리스트에 등록된 압축방법은 압축방법만으로는 대상파일의 악성코드여부를 판단할 수 없다. 따라서, 악성코드 검출부(230)는 대상파일의 MD5와 파일크기를 추출한다(S113). 추출된 대상파일의 MD5와 파일크기를 저장된 악성코드와 비교하여, 악성코드 여부를 최종 판단한다(S115). 마지막으로, 악성코드 검출부(230)의 판단결과를 출력한다(S117).When the compression method is detected by the compression
이상 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.While the preferred embodiments of the present invention have been shown and described, the present invention is not limited to the specific embodiments described above, and the present invention is not limited to the specific embodiments of the present invention, without departing from the spirit of the invention as claimed in the claims. Various modifications can be made by those skilled in the art, and these modifications should not be individually understood from the technical spirit or the prospect of the present invention.
도 1은 마이크로소프트가 정의한 PE 파일의 구조도,1 is a structural diagram of a PE file defined by Microsoft;
도 2는 본 발명의 일 실시예에 따른 실행압축 특성을 이용한 악성코드 탐지장치의 블록도, 그리고,2 is a block diagram of a malicious code detection apparatus using execution compression characteristics according to an embodiment of the present invention, and
도 3은 본 발명의 일 실시예에 따른 실행압축 특성을 이용한 악성코드 탐지방법의 흐름도이다.3 is a flowchart illustrating a malicious code detection method using execution compression characteristics according to an embodiment of the present invention.
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080131717A KR101110308B1 (en) | 2008-12-22 | 2008-12-22 | Apparatus and method for detecting malicious code using packed file properties |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080131717A KR101110308B1 (en) | 2008-12-22 | 2008-12-22 | Apparatus and method for detecting malicious code using packed file properties |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100073126A true KR20100073126A (en) | 2010-07-01 |
KR101110308B1 KR101110308B1 (en) | 2012-02-15 |
Family
ID=42636143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080131717A KR101110308B1 (en) | 2008-12-22 | 2008-12-22 | Apparatus and method for detecting malicious code using packed file properties |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101110308B1 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101327865B1 (en) * | 2011-12-29 | 2013-11-12 | 주식회사 시큐아이 | Homepage infected with a malware detecting device and method |
WO2014149627A1 (en) * | 2013-03-15 | 2014-09-25 | Mcafee, Inc. | Generic unpacking of applications for malware detection |
CN104573514A (en) * | 2013-10-29 | 2015-04-29 | 腾讯科技(深圳)有限公司 | Compressed file detecting method and device |
WO2015100327A1 (en) * | 2013-12-26 | 2015-07-02 | Mcafee, Inc. | Generic unpacking of program binaries |
US9129109B2 (en) | 2010-12-31 | 2015-09-08 | Anhlab, Inc. | Method and apparatus for detecting a malware in files |
KR20150136919A (en) * | 2014-05-28 | 2015-12-08 | 주식회사 안랩 | Malicious file diagnosis device and control method thereof |
KR20170057030A (en) * | 2015-11-16 | 2017-05-24 | 한국전자통신연구원 | Method and apparatus for detecting attaks and generating attack signatures based on signature merging |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101427566B1 (en) * | 2013-02-05 | 2014-09-23 | 주식회사 잉카인터넷 | system and method for reducing the danger of misdiagnosis |
KR102412196B1 (en) | 2020-03-09 | 2022-06-23 | 박근홍 | Method for Detecting Malicious Codes of Compressed File |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100620313B1 (en) * | 2005-06-15 | 2006-09-06 | (주)이월리서치 | The system for detecting malicious code using the structural features of microsoft portable executable and its using method |
-
2008
- 2008-12-22 KR KR1020080131717A patent/KR101110308B1/en active IP Right Grant
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9129109B2 (en) | 2010-12-31 | 2015-09-08 | Anhlab, Inc. | Method and apparatus for detecting a malware in files |
KR101327865B1 (en) * | 2011-12-29 | 2013-11-12 | 주식회사 시큐아이 | Homepage infected with a malware detecting device and method |
WO2014149627A1 (en) * | 2013-03-15 | 2014-09-25 | Mcafee, Inc. | Generic unpacking of applications for malware detection |
US9471783B2 (en) | 2013-03-15 | 2016-10-18 | Mcafee, Inc. | Generic unpacking of applications for malware detection |
US9811663B2 (en) | 2013-03-15 | 2017-11-07 | Mcafee, Inc. | Generic unpacking of applications for malware detection |
CN104573514A (en) * | 2013-10-29 | 2015-04-29 | 腾讯科技(深圳)有限公司 | Compressed file detecting method and device |
CN104573514B (en) * | 2013-10-29 | 2018-09-04 | 腾讯科技(深圳)有限公司 | The detection method and device of compressed file |
WO2015100327A1 (en) * | 2013-12-26 | 2015-07-02 | Mcafee, Inc. | Generic unpacking of program binaries |
US10311233B2 (en) | 2013-12-26 | 2019-06-04 | Mcafee, Llc | Generic unpacking of program binaries |
KR20150136919A (en) * | 2014-05-28 | 2015-12-08 | 주식회사 안랩 | Malicious file diagnosis device and control method thereof |
KR20170057030A (en) * | 2015-11-16 | 2017-05-24 | 한국전자통신연구원 | Method and apparatus for detecting attaks and generating attack signatures based on signature merging |
Also Published As
Publication number | Publication date |
---|---|
KR101110308B1 (en) | 2012-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101110308B1 (en) | Apparatus and method for detecting malicious code using packed file properties | |
US9454658B2 (en) | Malware detection using feature analysis | |
US20070152854A1 (en) | Forgery detection using entropy modeling | |
CN102664875B (en) | Malicious code type detection method based on cloud mode | |
JP4711949B2 (en) | Method and system for detecting malware in macros and executable scripts | |
US20100011441A1 (en) | System for malware normalization and detection | |
CN111639337B (en) | Unknown malicious code detection method and system for massive Windows software | |
US20150256552A1 (en) | Imalicious code detection apparatus and method | |
KR20160082644A (en) | Method and apparatus for detecting malware by code block classification | |
KR20090051956A (en) | The method and apparatus for judging dll inserted by malicious code in an operation system | |
CN109992969B (en) | Malicious file detection method and device and detection platform | |
KR20140030989A (en) | Method of obtaining signature of apk files for android operating system, and computer-readable recording medium with apk file signature computing program for the same | |
CN113158197B (en) | SQL injection vulnerability detection method and system based on active IAST | |
RU2728497C1 (en) | Method and system for determining belonging of software by its machine code | |
EP2189920B1 (en) | Malware signature builder and detection for executable code | |
CN105718795A (en) | Malicious code evidence obtaining method and system on the basis of feature code under Linux | |
KR20160100887A (en) | Method for detecting malware by code block comparison | |
KR101161008B1 (en) | system and method for detecting malicious code | |
Akram et al. | The making of indicator of compromise using malware reverse engineering techniques | |
KR101327740B1 (en) | apparatus and method of collecting action pattern of malicious code | |
CN107368740B (en) | Detection method and system for executable codes in data file | |
US8689327B2 (en) | Method for characterization of a computer program part | |
CN108573148B (en) | Confusion encryption script identification method based on lexical analysis | |
Ravula et al. | Learning attack features from static and dynamic analysis of malware | |
KR101792631B1 (en) | Api-based software similarity measuring method and system using fuzzy hashing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141229 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170119 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180118 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20190122 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20200120 Year of fee payment: 9 |